DocumentDB SQL - sparametryzowane
W relacyjnych bazach danych sparametryzowane zapytanie to zapytanie, w którym parametry zastępcze są używane, a wartości parametrów są podawane w czasie wykonywania. DocumentDB obsługuje również sparametryzowane zapytania, a parametry w sparametryzowanych zapytaniach można wyrazić za pomocą znanej notacji @. Najważniejszym powodem używania zapytań parametrycznych jest unikanie ataków typu SQL injection. Może również zapewnić niezawodną obsługę i unikanie danych wejściowych użytkownika.
Spójrzmy na przykład, w którym będziemy używać .Net SDK. Poniżej znajduje się kod, który usunie kolekcję.
private async static Task DeleteCollection(DocumentClient client, string collectionId) {
Console.WriteLine();
Console.WriteLine(">>> Delete Collection {0} in {1} <<<",
collectionId, _database.Id);
var query = new SqlQuerySpec {
QueryText = "SELECT * FROM c WHERE c.id = @id",
Parameters = new SqlParameterCollection { new SqlParameter { Name =
"@id", Value = collectionId } }
};
DocumentCollection collection = client.CreateDocumentCollectionQuery(database.SelfLink,
query).AsEnumerable().First();
await client.DeleteDocumentCollectionAsync(collection.SelfLink);
Console.WriteLine("Deleted collection {0} from database {1}",
collectionId, _database.Id);
}
Konstrukcja sparametryzowanego zapytania jest następująca.
var query = new SqlQuerySpec {
QueryText = "SELECT * FROM c WHERE c.id = @id",
Parameters = new SqlParameterCollection { new SqlParameter { Name =
"@id", Value = collectionId } }
};
Nie kodujemy na stałe elementu collectionId, więc ta metoda może służyć do usuwania dowolnej kolekcji. Możemy użyć symbolu „@”, aby poprzedzić nazwy parametrów, podobnie jak w SQL Server.
W powyższym przykładzie wysyłamy zapytanie o konkretną kolekcję według Id, w której parametr Id jest zdefiniowany w tym SqlParameterCollection przypisanym do właściwości parametru tego SqlQuerySpec. Następnie zestaw SDK konstruuje ostateczny ciąg zapytania dla bazy danych DocumentDB z osadzonym w nim elementem collectionId. Uruchamiamy zapytanie, a następnie używamy jego SelfLink do usunięcia kolekcji.
Poniżej znajduje się implementacja zadania CreateDocumentClient.
private static async Task CreateDocumentClient() {
// Create a new instance of the DocumentClient
using (var client = new DocumentClient(new Uri(EndpointUrl), AuthorizationKey)) {
database = client.CreateDatabaseQuery("SELECT * FROM
c WHERE c.id = 'earthquake'").AsEnumerable().First();
collection = client.CreateDocumentCollectionQuery(database.CollectionsLink,
"SELECT * FROM c WHERE c.id = 'myfirstdb'").AsEnumerable().First();
await DeleteCollection(client, "MyCollection1");
await DeleteCollection(client, "MyCollection2");
}
}
Gdy kod jest wykonywany, generuje następujące dane wyjściowe.
**** Delete Collection MyCollection1 in mydb ****
Deleted collection MyCollection1 from database myfirstdb
**** Delete Collection MyCollection2 in mydb ****
Deleted collection MyCollection2 from database myfirstdb
Spójrzmy na inny przykład. Możemy napisać zapytanie, które jako parametry przyjmuje nazwisko i stan adresu, a następnie wykonuje je dla różnych wartości lastname i location.state na podstawie danych wprowadzonych przez użytkownika.
SELECT *
FROM Families f
WHERE f.lastName = @lastName AND f.location.state = @addressState
To żądanie można następnie wysłać do usługi DocumentDB jako sparametryzowane zapytanie JSON, jak pokazano w poniższym kodzie.
{
"query": "SELECT * FROM Families f WHERE f.lastName = @lastName AND
f.location.state = @addressState",
"parameters": [
{"name": "@lastName", "value": "Wakefield"},
{"name": "@addressState", "value": "NY"},
]
}